-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2010-0028 JPCERT/CC 2010-10-27(初版) 2010-10-27(更新) <<< JPCERT/CC Alert 2010-10-27 >>> アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起 Web analytics service exploited for malicious purposes https://www.jpcert.or.jp/at/2010/at100028.txt I. 概要 JPCERT/CC では、2010年9月末から10月中旬の期間において、特定の Web ア クセス解析サービスを感染経路としたと想定されるマルウエア感染に関する報 告を受けています。上記期間において、当該アクセス解析サービスを使用する Webサイトを閲覧した場合、ユーザの PC がマルウエアに感染した可能性があ ります。当該アクセス解析サービスは、多くの商用 Web サイトで利用されて いる事から、広範囲のユーザが影響を受けた可能性があります。 *** 更新: 2010年10月27日追記 ***************************************** ※ JPCERT/CC では、当該アクセス解析サービス提供事業者様に、本件の調査 と問題解決のための対応を依頼し、事業者様にて詳細な調査を実施いただ いております。 ********************************************************************** 現在、JPCERT/CC ではアクセス解析サービスを感染経路としたマルウエアの感 染活動が停止している事を確認していますが、上記期間に該当する Web サイ トを閲覧したユーザの PC が脆弱性のある古いソフトウエアを使用していた場 合、マルウエアに感染した可能性があります。念のため、PC がマルウエアに 感染していない事を確認してください。 再び同様の攻撃が行われる可能性があります。OS やアプリケーションに修正 プログラムを随時適用し、常に最新の状態となるようにしてください。 ※ 本攻撃に関しては、まだ不明な点が存在しているため、JPCERT/CC では引 き続き調査を行っています。 II. 攻撃シナリオ 想定される攻撃シナリオは以下の通りです。 1) 攻撃者は何らかの方法でアクセス解析サービスを提供する事業者のサー バに攻撃コードを混入させ、アクセス解析サービスを利用している Web サイトが表示されたときにマルウエアに感染するように細工を施します。 - このアクセス解析サービスが多くの商用 Web サイトで利用されてい る事から、広範囲のユーザが影響を受けた可能性があります。 2) アクセス解析サービスを利用している Web サイトをユーザが閲覧したと きに、1) の攻撃コードが実行され、ユーザの PC がマルウエアに感染し ます。 - 既知の Java の脆弱性が使用されていたことを確認しています。 3) マルウエアに感染した PC は、外部から別のマルウエアをダウンロード するため、複数のマルウエアに感染します。 ※ JPCERT/CC では、2) および 3) のマルウエア感染に使用されたサイトの停 止に向けて調整を行っています。 III. 検知情報 JPCERT/CC では、マルウエアに感染した PC に以下のファイルが含まれていた 事を確認しています。システムに以下のファイル名のファイルが存在している 場合、マルウエアに感染している可能性があります。 感染した PC に含まれるファイル: - mstmp - lib.dll - lib.sig - AdvBHO.dll ファイルの検索手順例 (Windows XP の場合) 1) [スタート]メニューから、検索をクリックする。 2) 検索コンパニオンの"ファイルとフォルダすべて"をクリックする。 3) "ファイル名のすべてまたは一部" にファイル名を入力し、検索ボタン をクリックする。 4) 検索結果に上記ファイル名が表示されないことを確認する。 ※ 検索結果に、部分一致するファイル名 (xxxxlib.dll など) が表示され る場合があります。感染ファイルではない可能性があるため、、ウイル ス対策ソフトで別途スキャンしてください。 上記以外のファイル名のファイルが攻撃に使用されている可能性があります。 ウイルス対策ソフトでシステム全体のスキャンを併せて実施することを推奨し ます。 IV. 対策 III. 検知情報を参考に、PC がマルウエアに感染しているか確認してくださ い。 [マルウエアに感染している場合] - PC をネットワークから切り離し、システム担当者の指示に従いマルウエ アを駆除してください。駆除が困難な場合は、クリーンインストールの 実施を検討してください。 ※ マルウエアに感染した PC は、外部から別のマルウエアをダウンロード するため、感染が確認された場合、複数のマルウエアに感染している可 能性があります。 - マルウエアの駆除後、使用する PC の OS やインストールされているソ フトウエアを最新の状態に更新してください。 - ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検 知機能が有効になっていることを確認してください。 [マルウエアに感染していない場合] - 使用する PC の OS やインストールされているソフトウエアが最新かど うか確認し、必要に応じて最新の状態に更新してください。 - ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイルス検 知機能が有効になっていることを確認してください。 V. 参考情報 トレンドマイクロ セキュリティ ブログ 国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム http://blog.trendmicro.co.jp/archives/3723 *** 更新: 2010年10月27日追記 ***************************************** ドライブ・バイ・ダウンロード攻撃で感染する”mstmp”ウイルスについて https://www-950.ibm.com/blogs/tokyo-soc/entry/dbyd_mstmp_20101027?lang=ja ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2010-10-27 初版 2010-10-27 概要と参考情報に追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBTMfm0TF9l6Rp7OBIAQibGgf/Y/vS8gf11LRRT+/z0VmPJUGV4j1lm7ht s4ZVm01LCcfkVwhUG3RGyL0HHQcCSXSTgRXVA2v5/SJObTcDVkXqabZkfUmOdfex QijOSnp46a39fIlH2xjC3+PXnAloADLfyLNtJxPWvy/eIXkXczfGSL6PG8PkISRx fwp01j2cSF4+6OvaHcuMPgBQnklILQrrV8533XWYQ5T7bCxk15TuaYRXEgUXfv/u Owy14wvfgcUsAPb7yRfB6kON1OxPtUWyGO08FxxUtOuBKJmok8tAkaxEvKlBzekK BEoD34x/dFlJCVcaSi3s82gH9f9fXzuN+lrGM2uz/rTS0crJ/eOX8w== =B/2u -----END PGP SIGNATURE-----